viernes, 20 de febrero de 2009

cita:

Stupidity is like nuclear power; it can be used for good or evil.

Dilbert

Encabezado IPv6

Del documento de Cisco IPv6 Headers

Hay varios cambios al formato de encabezados de IPv6. Los diagramas describen en alto nivel la comparación entre IPv4 e IPv6.

[caption id="" align="alignnone" width="369" caption="IPv6 Headers"]IPv6 Headers[/caption]

jueves, 12 de febrero de 2009

Internet Protocol version 6

Del Cisco's Internetworking Techonology Handbook

IPv6
Uno de los mayores estándares en el horizonte es IPv6, aunque no se ha vuelto un estándar oficial, vale la pena revisarlo un poco, y es muy posible que esta información cambie mientras se libera una versión definitiva, por lo que este documento debe ser sólo una guía.

Hay una gran variedad de libros y RFCs disponibles que hablan sobre IPv6, con los grandes rasgos de cómo se desarrolla el estándar, aunque son documentos difíciles de interpretar con un vistazo y requieren un poco de dedicación para poder analizar todos los temas relacionados al desarrollo de IPv6.

IPv4 (Internet Protocol version 4) es el protocolo más popular usado hoy, aunque hay serias dudas acerca de su utilidad para la comunidad de Internet a largo plazo. IPv4 fue terminado en 1970 y ha comenzado a mostrar los signos de su edad. El principal problema es el direccionamiento, o la falta de espacio en el mismo, porque muchos expertos creen que están casi agotadas las 4mil millones de direcciones disponibles para IPv4. Y aunque parece un número enorme, enormes bloques han sido dados a las agencias de gobierno y organizaciones grandes. IPv6 podría ser la solución a muchos problemas, pero no está totalmente desarrollado y no es un estándar aún.

Ha habido muchos desarrolladores e ingenieros trabajando en IPv6 desde principios de los 90's. Cientos de RFCs se han escrito y se han detallado algunas áreas importantes, incluyendo el direccionamiento expandido, el formato de encabezado simplificado, el etiquetado de flujo (flow labeling), autenticación, y privacidad.

El direccionamiento expandido nos lleva de 32 a 128 bits de direccionamiento y nos da nuevos métodos de broadcast y de unicast; inyecta hexadecimales en la dirección IP y cambia el delimitador "." por ":", en la figura 32-1 se muestra el formato de encabezado del paquete de IPv6.



IPv6 Header
IPv6 Header

El encabezado simplificado es de 40 bits y el formato consiste de:
  • Version
  • Class
  • Flow Label
  • Payload length
  • Next Header
  • Hop Limit
  • Source Address
  • Destination Address
  • Data
  • Payload Fields

Hexadecimal "Hex"

miércoles, 4 de febrero de 2009

Actualizar el PIX OS en un ASA 5500

Roberto pregunta en un comentario ¿cómo puede cargar el sistema operativo en un ASA 5510 que no tiene imagen?.

Básicamente es el mismo proceso que en un router, y lo primero que debemos hacer es obtener una imagen adecuada para nuestro Adaptive Security Appliance; por ejemplo PIX OS 7.0.8 que es una General Deployment y por tanto debe tener pocos bugs y debe ser muy estable.

El problema con un ASA a diferencia de un router es que involucra licencias; para un router basta con obtener la imagen y si estamos registrados como partners de Cisco, tenemos acceso a ese software, pero para un ASA debemos obtener la imagen y registrarn nuestro ASA para obtener una license key que activa las características de VPN, lo más sencillo sería abrir un caso en el TAC si contamos con el soporte; si no, bajemos la imagen y el ASA básicamente funcionará como firewall, sólo que sin la funcionalidad de SSL por ejemplo.

Ya que tenemos la imagen en nuestra computadora, debemos instalar un tftp server para que de ahí copiemos la imagen.

Ahora ponemos una IP en nuestra PC, nos conectamos al ASA por el puerto de consola, iniciamos nuestra hyperterminal o un programa de telnet de nuestra preferencia y prendemos el ASA; si efectivamente no tiene imagen entrará directo a ROMMON, que es una versión muy básica del PIX OS, y desde ahí vamos a configurar una IP para el puerto fast ethernet que está conectado a nuestra PC con el TFTP server.

Una vez configuradas las IP, y activado el puerto (no shutdown) hacemos un ping entre ambos, y comenzamos con la copia de la imagen:

rommon# copy tftp flash

y el proceso es el mismo que en un router, puedes consultar la descripción en el post original y si hay dudas por favor díganme.

En este link pueden encontrar información sobre como manejar software (imágenes):

http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/mswlicfg.html

Aquí está el procedimiento para instalar una imagen usando la línea de comandos (CLI command line interface):

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008067e9f9.shtml#maintask2